android
Изобретательность вирусописателей не знает предела. Их детища регулярно осваивают новые специальности: шифровальщики становятся еще и майнерами, а банковские воры — вымогателями. Иногда в судьбе зловреда происходит и вовсе драматический поворот. Вот, например, занимательная история про кражу денег, SMS и страшную месть.
Faketoken: от SMS-вора до полноценного банкера
С банковским трояном Faketoken мы знакомы давно — еще в 2014 году он выбился в двадцатку самых распространенных мобильных угроз. Тогда зловред работал в паре с десктопными банкерами: «старший товарищ» взламывал аккаунт жертвы и выводил деньги, а Faketoken перехватывал SMS с одноразовыми паролями для подтверждения этих транзакций.
К 2016 году наш герой возмужал, окреп и принялся красть деньги самостоятельно: научился перекрывать другие приложения фейковыми окнами и заставлять пользователя вводить туда логины, пароли и данные банковских карт. В дополнение к этому он освоил работу вымогателя: начал блокировать экран зараженного устройства и заодно шифровать файлы на нем.
К 2017 году он изучил целую кучу приложений, которыми можно прикидываться, чтобы красть данные карточек, — программы для мобильного банкинга, электронные кошельки вроде Google Pay и даже службы заказа такси и приложения для оплаты штрафов.
Неожиданный поворот в жизни Faketoken
И вот недавно наша система мониторинга активности ботнетов — Botnet Attack Tracking — обнаружила пять тысяч смартфонов, с которых Faketoken… шлет кому-то SMS с оскорблениями.
Вообще умение отправлять сообщения для мобильного зловреда вещь обычная: многие из них распространяются, рассылая ссылки на скачивание себя всем контактам жертвы. Кроме того, банковские трояны часто хотят стать приложением для работы с SMS по умолчанию — чтобы перехватывать сообщения с кодом подтверждения.
Однако чтобы зловред, нацеленный на чужие банковские счета, внезапно превращался в инструмент для личных разборок — такого мы раньше не видели.
SMS за границу за ваш счет
Все сообщения Faketoken рассылает за счет владельцев зараженных устройств. Причем подходит к вопросу основательно: прежде чем что-то отправить, зловред проверяет, достаточно ли средств на банковской карте жертвы. Убедившись, что баланс положительный, он пополняет с этой карты мобильный счет и только после этого приступает к рассылке.
Для многих владельцев зараженных телефонов номер, на который обрушился гнев зловреда, — зарубежный. Учитывая, что одной SMS от каждой жертвы Faketoken не ограничивается, сумма, которой недосчитаются пользователи, может оказаться заметной.
Как защититься от Faketoken
Мы не знаем, насолила ли жертва рассылки самим авторам Faketoken — или же они сдают ботнет в аренду любому желающему отомстить и подобные акции могут стать массовыми. Чтобы поневоле не стать соучастником одной из них, стоит принять меры:
- Устанавливайте программы только из официальных магазинов. А лучше вообще запретите загрузку приложений из сторонних источников в настройках телефона.
- Не переходите по ссылкам из сообщений, если вы не уверены в их безопасности. Если знакомый вдруг присылает вам фото не в соцсетях и мессенджерах, а в виде ссылки в SMS, это должно вас как минимум насторожить.
Пример вредоносной SMS со ссылкой на скачивание трояна
- Установите надежное защитное решение. Kaspersky для Android распознает и блокирует Faketoken, а также многих других мобильных зловредов.
Советы